客户端向服务器发起HTTPS请求
Charles拦截客户端的请求,伪装成客户端向服务器进行请求
服务器向“客户端”(实际上是Charles)返回服务器的CA证书
Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。(这一步,Charles拿到了服务器证书的公钥)
客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称密钥,用Charles的公钥加密,发送给“服务器”(Charles)
Charles拦截客户端的响应,用自己的私钥解密对称密钥,然后用服务器证书公钥加密,发送给服务器。(这一步,Charles拿到了对称密钥)
服务器用自己的私钥解密对称密钥,向“客户端”(Charles)发送响应
Charles拦截服务器的响应,替换成自己的证书后发送给客户端
至此,连接建立,Charles拿到了 服务器证书的公钥 和 客户端与服务器协商的对称密钥,之后就可以解密或者修改加密的报文了。
HTTPS抓包的原理还是挺简单的,简单来说,就是Charles作为“中间人代理”,拿到了 服务器证书公钥 和 HTTPS连接的对称密钥,前提是客户端选择信任并安装Charles的CA证书,否则客户端就会“报警”并中止连接。这样看来,HTTPS还是很安全的。
抓包配置
PC :Windows 10
Mobile:华为荣耀V8 Android7.0
Charles: Charles 4.2.5
1. 在电脑上安装Charles根证书
第一步 选择安装根Charles根证书。
第二步 弹出证书安装向导
第三步 根据向导安装证书
注意要将证书安装到【受信任的根证书颁发机构】存储区。
第四步 完成安装
安装成功后可以在操作系统已经安装证书列表看到Charles根证书:
Tips 可以通过谷歌浏览器按 设置→高级→隐私设置和安全性→管理证书 的步骤查看系统已安装证书列表。
2.移动端安装Charles根证书
第一步 选择在移动手机上安装Charles根证书
选择 Install Charles Root Certificate on a Mobile Device or Remote Browser。
然后根据提示使用手机连接指定代理主机及端口号:
第二步 下载根证书并安装
连接成功后打开手机浏览器访问地址 chls.pro/ssl,下载根证书然后根据指引完成安装。
安装成功后可以在系统的安全设置页查看Android手机已安装的根证书列表:
Tips :
Android手机查看证书列表的路径一般为: 设置→高级设置→安全和隐私→安全→证书存储→受信任的凭据
不同手机查看路径可能略有差异,不过一般都是位于安全选项下。
3.指定需要解析的Https请求
Charles只会解析指定主机名称的Https请求。
第一步 打开SSL代理设置
第二步 添加需要解析的Https请求主机名
端口号指定 443端口。也可以不用指定。本例中我们指定的主机名是:*.baidu.com , 它表示指定解析所有以.baidu.com为后缀的主机名。
至此,所有的准备工作都已完成。总结一下就两步操作:第一步安装根证书,第二部指定需要过滤的主机名。接下来就可以看到需要解析的Https请求明文了:
原理分析
Charles利用一种叫做【中间人攻击】的手段来解析Https请求,即向服务端假冒客户端,向客户端假冒服务端。客户端与服务端所有通信实际上是通过Charles这一代理来完成的。
我们知道,Https是具有信息加密及身份认证功能的。Charles是如何突破层层防线从而获得代理人这一角色的呢?实际上,当我们通过Charles代理发起Https请求时,Charles会使用自己的根证书为请求的服务端签发一个代理证书,这个代理证书会取代服务端原证书传递给客户端。客户端在获取代理证书后会根据CA证书认证链判断该证书是否有效?如果有效则信任该请求。那么客户端是如何判断该证书是有效的呢?这就是我们执行【在电脑上安装Charles根证书】或【移动端安装Charles根证书】的理由了。CA证书认证链的终点是根证书,如果能证明该证书的颁发机构的根位于系统根证书列表内,则说明该证书就是有效的。
其实即使我们不在客户端安装Charles根证书,仅仅执行【指定需要解析的Https请求】这一步也是可以抓取Https数据的,但此时客户端会发出警告信息,选择忽视警告继续访问就可以了。但这种情况也有例外,如果服务端Https使用 HSTS 规则的话,当证书不被系统信任时,连接是不会创建成功的。
参考文献
Charles SSL Proxying
使用Charles抓取 Https 数据及原理分析
Charles 抓包HTTPS原理
